出于向后兼容性的原因,如果需要在 Web 服务器中启用 3DES (TLS_RSA_WITH_3DES_EDE_CBC_SHA) 密码,是否有任何补偿性安全控制可用于检测和减轻对 3DES 的 Sweet32-Birthday 攻击? WAF 在这种情况下有帮助吗?考虑 Web 应用程序在云负载均衡器后面的容器上运行。
一个例子是,Google 为 https://www.google.com 启用了 3DES 密码,在这种情况下,他们如何继续支持 3DES 密码,同时保持对 Sweet32-Birthday 攻击的防御。
感谢您的帮助。
【问题讨论】:
标签: encryption google-cloud-platform aws-security-group 3des websecurity
端点 google.com 确实启用了 TLS_RSA_WITH_3DES_EDE_CBC_SHA。这是一个问题吗?通常不需要,因为至少需要捕获来自同一 SSL/TLS 会话的 32 GB 数据。在一些真实世界的报告中,需要捕获超过 700 GB 的数据。
对于一个提供 HTML 页面的网站,单个 HTTPS 连接不太可能传输这么多数据。但是,中断单个会话对下一个连接没有帮助,因为攻击必须重新开始。
是否有任何补偿性安全控制可用于检测 并减轻对 3DES 的 Sweet32-Birthday 攻击?
我不知道有任何方法可以检测到有人破坏了加密。没有反馈循环报告攻击成功。
WAF 在这种情况下有帮助吗?
我不知道 WAF 检查加密协议。 WAF 寻找更高层的攻击。
假设 Web 应用程序在云背后的容器上运行 负载均衡器。
Google HTTP(S) 负载平衡器支持 SSL 政策。使用 Modern Profile 或更高版本创建 TLS 1.0 策略,TLS_RSA_WITH_3DES_EDE_CBC_SHA 和其他较弱的功能将被禁用。
他们如何在保持防御的同时继续支持 3DES 密码 防止 Sweet32-Birthday 攻击。
我无法回答。鉴于需要捕获大量数据,大多数公司并不担心这种特定的生日攻击。在评估安全实施的优势和劣势时,需要权衡取舍。提高安全性的成本与受保护数据的价值。如果该值较低,则可能不需要更昂贵的安全形式。就 Google 而言,我认为这更像是一个机会决定,以确保 google.com 可广泛用于所有客户。
【讨论】: